3  |  1

حسابرسی و فناوری اطلاعات

حسابرسی و فناوری اطلاعات

محیط کسب وکار، پویا و همیشه دستخوش تغییر و دگرگونی است. فناوری مدام در حال تغییر و پیچیده‌تر شدن است. شرکت‌ها و سازمان‌ها به دنبال فناوری جدید برای ارتقای کارایی فرآیندهای کسب وکارشان هستند و از این رو سیستم‌های اطلاعاتی پیچیده‌تر شده‌اند. حوزه حسابرسی نیز از این قاعده مستثنی نبوده و به شدت تحت تاثیر توسعه فناوری اطلاعات قرار گرفته است. با کامپیوتری شدن هرچه بیشتر سازمان‌ها، تصمیم‌گیران بیشتر نگران صحت داده‌ها یا اطلاعاتی می‌شوند که باید براساس آنها تصمیم‌های راهبردی بگیرند. ران وبر در مقدمه کتاب خود با عنوان "حسابرسی سیستم‌های اطلاعاتی" بر این مطلب تاکید کرده است که حسابرس باید در کسب وکار از مشتری برتر باشد. در دهه اخیر که فناوری در حال تغییر دنیای کسب وکار بوده است، متاسفانه حسابرسان از این تغییر عقب مانده‌اند. فریب دادن حسابرسان با مدارک ساختگی، امضای جعلی، توضیح‌های دروغین و مواردی این گونه، برای مدیران بنگاه یا واحد تحت رسیدگی بسیار ساده شده است.

حسابرسان باید به یاد داشته باشند که چنانچه تقلبی آشکار شود، جامعه به بهانه‌هایی مانند اینکه "مدیران به ما نگفتند که حساب‌سازی کرده اند" یا "ما برای کشف تقلب آموزش ندیده‌ایم"، توجه یا آن را باور نخواهند کرد. در دنیای در حال تغییر، رسیدن به چنین درجه‌ای از مهارت، رویایی نیست؛ بلکه وظیفه است. شغل حسابرس علاوه بر حسابرسی، پیش‌بینی تغییر جهت فناوری اطلاعات و تاثیری که این تغییرها و پیامدهای آنها ممکن است بر هدف‌های تجاری بگذارند را نیز در برمی‌گیرد.

یکی از عوامل کلیدی موفقیت در ر سیدن به این هدف‌ها، درک کامل نقش حسابرس ا ست. حسابرسان باید تلاش کنند که تصویر حسابرس به عنوان "پلیس فناوری اطلاعات " را  با تصویر حسابرس به مثابه فردی که به عنوان شریک کسب وکار، واحدهای تحت رسیدگی را در نیل به هدف‌هایشان یاری می‌رساند، جایگزین کنند.

تغییر سریع فناوری و توسعه الگوهای تجاری، شیوه دسترسی به  شواهد حسابرسی دگرگون شده و چالش جدیدی متوجه حسابرسی سنتی گشته است؛ کامپیوتر از دو جنبه برحسابرس اثر گذاشته است.

جنبه اول: موجب پیدایش مقدمه بسیار مهمی در حسابرسی کامپیوتری به نام "حسابرسی سیستم‌های کامپیوتری" شده است. درصورتی که نتایج حاصل از حسابرسی سیستم‌های اطلاعاتی به درستی انجام گیرد و اتکاپذیر تشخیص داده شود، شرایط برای ورود به مرحله بعدی آسان می‌گردد.

جنبه دوم: بعد از آنکه از صحت سیستم اطلاعاتی اطمینان به دست آمد، می‌توان از کامپیوتر به عنوان یک ابزارحسابرسی استفاده کرد. در صورتی که استفاده از کامپیوتر به عنوان یک ابزار حسابرسی  درخور اتکا و کاربری نباشد، به طور معمول از "حسابرسی دور زدن کامپیوتر" استفاده می‌شود. در این حسابرسی، حسابرس فرض می‌کند که کامپیوتری در میان نیست و با شناخت روابط در محیط و نادیده گرفتن سیستم کامپیوتری، حسابرسی را در واقع با نادیده گرفتن کامپیوتر انجام می دهد.این شیوه، در محیط سیستم‌های ساده تا کمی پیچیده کامپیوتری امکان پذیر است؛ ولی در محیط‌های سیستم‌های پیچیده و پیشرفته کامپیوتری ممکن است امکان پذیر نباشد.

فناوری اطلاعات و مفاهیم اهمیت و ریسک

اهمیت، موضوعی است که با ریسک حسابرسی بسیار در ارتباط است. در واقع، ریسک حسابرسی در ارتباط با احتمال کشف نشدن تحریف‌های حسابداری با اهمیت، بیان می‌شود. بنابراین، ارتباط اساسی موضوع اهمیت با حسابرسان، زمانی که ریسک حسابرسی یک رویداد مالی را ارزیابی می‌کنند، عبارت است از اینکه در چه نقطه ای یک تحریف احتمالی به اندازه کافی با اهمیت می شود تا بر عملیات حسابرسی و اظهارنظر آن اثر گذارد؟

 در کار حسابرسی دو عامل مرتبط با این موضوع وجود دارد؛ اول ریسک کشف تحریف حسابداری به وسیله حسابرسان (به دلیل عوامل مرتبط با کنترل‌های شرکت و سطح صلاحیت حسابرسان) و دوم، مسئله ماهیت کمی و یا کیفی تحریف و اثر بر صورت‌های مالی حسابرسی شده و گزارش حسابرسی. بنابراین، اهمیت باید به عنوان موضوعی با ماهیت چند بعدی در نظر گرفته شود؛ موضوعی که هم بر حسابدار و هم بر حسابرس اثر می‌گذارد؛ به خصوص در ارتباط با اطلاعاتی که محتوای آن بر قضاوت استفاده کننده اثر می‌گذارد.

 در مورد مفهوم اهمیت در حسابرسی، موضوع مشخص این است که اهمیت به طور مستقیم بر تصمیم‌های حسابرسی در مورد کیفیت صورت‌های مالی گزارش شده، اثر گذار است. اهمیت بر مربوط بودن و قابلیت اعتماد صورت‌های مالی اثر می‌گذارد. بنابراین اهمیت باید به وسیله حسابرس و در ارتباط با تاثیر آن بر عملکرد و تصمیم‌های استفاده کننده، ارائه صادقانه پدیده ها و در واقع مسئله پاسخگویی مدیریت به صاحبان سهام و سایر ذینفعان، ارزیابی شود.

نقطه تمرکز حسابرس ی مبتنی بر ریسک به واسطه فناوری تغییر کرده است. با استفاده از امکانات کامپیوتری و شبکه‌های ارتباطی، بسیاری از اموری که پیش از این به صورت جداگانه انجام می‌گرفت، با هم ترکیب شده‌اند که این کار، احتمال خطای سیستمی تکرار شونده را افزایش داده است. تعریف ساده حسابرسی مبتنی بر ریسک چنین است: "یک حسابرسی که درآن گروه حسابرسی تلاش‌های خود را بر مواضع دارای‌ ریسک بیشتر متمرکز می‌کند." از این رو، افراد حرفه ای باید برای اینکه وقت خود را کجا صرف کنند، دست به انتخاب بزنند. طبیعی است که تمرکز بر مواضع، دارای بیشترین ریسک منطقی خواهد بود و این همان هدف حسابرسی مبتنی بر ریسک است.

سرشت بسیار تکرارشونده بسیاری از توابع استفاده شده در برنامه‌های کامپیوتری به این مفهوم است که خطاهای کوچک ممکن است به زیان‌های بزرگ بینجامند. برای مثال، یک خطا در محاسبه مالیات بر درآمد کارکنان تنها در یک مورد اتفاق نخواهد افتاد؛ اما به محض اینکه یک خطا در سیستم کامپیوتری رخ دهد، بر تمام موارد اثر خواهد گذاشت.

آزمون فرآیندهای نامرئی، آسیب پذیری‌ها در یک سیستم اطلاعاتی را برای ممیزی بازبین، حتمی و لازم الاجرا می‌کند تا این اطمینان پدید آید که نه تنها کنترل‌های کافی وجود دارند، بلکه این کنترل‌ها به صورت موثری کار می کنند.همچنین اطمینان داده می شود که این کنترل‌ها مطابق با ریسک‌ها برآورد شده‌اند و عملیات سازمان را در مقابل خطاها، کلاهبرداری‌ها، تقلب و دیگر اعمال، فجایع و تصادف‌هایی که ممکن است رخ دهد، ارزیابی می‌کنند.

 با توجه به تغییر نقطه تمرکز حسابرسی مبتنی بر ریسک به واسطه فناوری و سرشت بسیار تکرارشونده بسیاری از توابع استفاده شده در برنامه های کامپیوتری، تعریف مفهوم اهمیت به معنای بازبینی اعداد بزرگ به شناسایی موارد پرتکرار تغییر کرده است.

فناوری اطلاعات و خطرتقلب

سازمان‌ها در همه زمینه‌ها نظیر انجام کسب وکار، برقراری ارتباطات و فرآوری اطلاعات مالی، بر واحد فناوری اطلاعات تکیه می کنند. در شرایطی که فناوری اطلاعات به ط‌ور مناسبی طراحی نشده و یا به نحو مطلوبی کنترل نمی‌شود، سازمان ممکن است در معرض تقلب قرار داشته باشد.  امروزه سیستم‌های رایانه‌ای که متصل به شبکه‌های ملی و بین المللی هستند، در معرض تهدید های مداوم فضای مجازی و انواع تهدیدهای ی قرار دارند  که ممکناست منجر به زیان‌های اطلاعاتی و مالی بیشماری شوند. فناوری اطلاعات جز پراهمیتی از فرآیند مدیریت خطر است؛ به ویژه زمانی که خطر تقلب در دستور کار قرار گیرد.

خطرهای فناوری اطلاعات شامل تهدید علیه تمامیت و پیوستگی اطلاعات و همچنین تهدیدهای نفوذ کنندگان رایانه ای، امنیت سیستم و دزدی اطلاعات حساس مالی مربوط به کسب وکار سازمان است. خطر فناوری اطلاعات به هر صورتی که باشد، از قبیل نفوذ رایانه‌ای، جاسوسی اقتصادی، دگرگون سازی، دستبرد به اطلاعات، ویروس‌ها، دستیابی غیرمجاز به اطلاعات و سایر خطرهای تقلب فناوری اطلاعات، هر کسی را ممکن است تحت تاثیر قرار دهد. در حقیقت، فناوری می‌تواند از سوی افرادی که نیت ارتکاب تقلب دارند، در هریک از سه زمینه تقلب‌های مربوط به شغل که به وسیله انجمن بررسی کنندگان خبره تقلب تعریف شده است، مورد استفاده قرار گیرد.

گزارشگری مالی متقلبانه

دسترسی غیرمجاز به سیستم‌های عملیاتی حسابداری: کارکنان با دسترسی غیرمجاز به دفتر کل، سیستم‌های فرعی یا ابزار گزارش گری مالی، ممکن است نسبت به انجام ثبت‌های متقلبانه اقدام کنند.

بی اثر کردن سیستم‌های کنترل‌های داخلی- کنترل‌های عمومی رایانه‌ای:  شامل محدودیت در دستیابی به سیستم، دستیابی محدود به سیستم‌های عملیاتی و کنترل‌های تعویض برنامه است. کارکنان فناوری اطلاعات ممکن است قادر به دستیابی غیرمجاز به اطلاعات محدود شده و یا تعدیل ثبت‌ها به طور متقلبانه باشند.

سوء استفاده از دارایی‌ها

سرقت دارایی‌های مشهود:  در سازمان‌ها، افرادی که به داراییهای مشهود  (مانند پول نقد، کالا و داراییهای ثابت) و به سیستم‌های حسابداری مربوط به ثبت فعالیت‌های این دارایی‌ها دسترسی دارند، می‌توانند با استفاده از فناوری اطلاعات، دزدی دارایی‌ها را مخفی کنند. برای نمونه، فردی ممکن است تامین کننده‌ای جعلی در پرونده اصلی تامین کنندگان ایجاد کند تا پرداخت در مقابل صورتحساب جعلی خرید را تسهیل سازد؛ یا فردی کالای موجود را دزدیده و بهای اقلام سرقت شده را در حساب بهای تمام شده ثبت کند تا به این ترتیب، دارایی از ترازنامه حذف شود.

سرقت داراییهای نامشهود: در دنیای امروز با توجه به اقتصادِ دانش محور و مبتنی بر خدمات، پر ارزشترین دارایی‌های سازمان، دارایی‌های نامشهودی مانند فهرست مشتریان، تجربه‌های تجاری، حق اختراع و حق چاپ و تقلید است. به عنوان نمونه‌هایی از دزدی دارایی نامشهود می‌توان دزدی نرم افزارها یا محصولات، یا حق چاپ و تقلید به وسیله افراد داخل یا خارج از سازمان را نام برد.

فساد

سوء استفاده از مشتریان: کارکنان داخل یا خارج از سازمان می‌توانند اطلاعات کارکنان یا مشریان را به دست آورند و از این اطلاعات برای دستیابی به اعتبار یا هدف‌های متقلبانه دیگر استفاده کنند. به خاطر داشته باشید که افراد متقلب در فضای مجازی، حتی مجبور به ترک خانه‌های خود برای ارتکاب به تقلب نیستند؛ بلکه آنها می‌توانند به طور عادی و از طریق شرکت‌های تلفن محلی، خدمات راه دور، ارائه دهندگان خدمات اینترنت و شبکه‌های ماهواره‌ای و بی سیم، با دیگران ارتباط برقرارکنند. آنان می‌توانند قبل از حمله به سیستم‌های هدف در سراسر جهان و به منظور اختفای خود، به رایانه های مستقر در سایر کشورهای جهان وارد شده و ازآنجا اقدام کنند.

آنچه اهمیت دارد این است که تمام اطلاعات و نه تنها اطلاعات مالی از این بابت در خطراست و خسارت‌های ناشی از این گونه مخاطرات روزبه روز و همزمان با تکامل فناوری، بیشتر و بیشتر می‌شود. به منظور مدیریت خطر رو به رشد اداره سازمان‌ها در عصر اطلاعات، باید زمینه های آسیب پذیری شناسایی شود و باید قادر بود مخاطرات را به روشی مقرون به صرفه کاهش داد. بنابراین، خطر فناوری اطلاعات باید در ارزیابی خطر تقلب کلی سازمان مورد توجه قرار گرفته و به طور کامل در نظر گرفته شود ممیزی سیستم‌های اطلاعاتی باید این اطمینان را ایجاد کند که علاوه بر حفاظت شایسته از دارایی‌ها، امکان استفاده بهینه از آنها در جهت رسیدن به هدف‌های سازمانی نیز فراهم است.

نتیجه گیری

شغل حسابرس علاوه بر حسابرسی، پیش بینی تغییر جهت فناوری اطلاعات و تاثیری را که این تغییرها و پیامدهای آنها ممکن است بر هدف‌های تجاری بگذارند نیز در برمی‌گیرد. سرشت بسیار تکرارشونده بسیاری از توابع استفاده شده در برنامه‌های کامپیوتری، موجب  شده نقطه تمرکز حسابرسی مبتنی بر ریسک تغییر کند و اهمیت به معنای بازبینی اعداد بزرگ، تعریف خود را با شناسایی موارد پرتکرار تعدیل کند.از طرفی، فناوری می تواند در کلیه زمینه‌های تقلبِ تعریف شده از سوی انجمن بررسی‌ کنندگان خبره تقلب، مورد استفاده قرار گیرد.

پیشرفت‌های اخیر در فناوری اطلاعات و خطر دستکاری اطلاعات با استفاده از آن، ممکن است از توانایی حرفه حسابرسی پیشی بگیرد و حسابرسان نتوانند از عهده آن برآیند. حسابرسان نه تنها باید مهارت‌های فناوری اطلاعات را دارا باشند، بلکه همچنین باید در مهارت‌های فناوری اطلاعات متخصص باشند تا از عهده وضعیت‌های مختلف حسابرسی برآیند. اگر حسابرسان به صورت اثربخشی قادر به حسابرسی سیستم‌های فناوری اطلاعاتی که صورت‌های مالی از آنها استخراج می گردد، نباشند، دیگر دانش تخصصی آنها در مورد اصول پذیرفته شده حسابرسی بی‌ارزش خواهد بود.

 در حال حاضر دستیابی به درکی مناسب از کنترل‌های فناوری اطلاعات، برای مؤسسه‌های بزرگ امری بسیار مهم است. مؤسسه‌های کوچکتر زیاد نگرانی ندارند، چون اغلب سیستم‌های صاحبکار آنها پیچیده نیست؛ با این حال باید به یاد داشته باشیم که با گذشت زمان، هر سال تمام صاحب  کاران از نظر فنی پیچیده‌تر می‌شوند و برای ارتقای مهارت و به روز شدن نباید صبر کرد تا با توجه به این موضوع خیلی دیر شود!

 

با عضویت در بیزنگار می توانید به بیش از 500 مقاله و ویدیو آموزشی و کاربردی به صورت طبقه بندی شده و به رایگان دسترسی داشته باشید.

درباره مدل کسب و کار، طرح کسب و کار، استارتاپ ناب، بوم ارزش پیشنهادی، خلاقیت و نوآوری، کارآفرینی کودکان، کارآفرینی زنان، کارآفرینی سازمانی، کارآفرینی اجتماعی، کمینه محصول پذیرفتنی، ایده پردازی و تجارب کارآفرینان موفق و شکست خورده بخوانید و ببینید.

عضویت سریع و رایگان

منبع: مجله حسابرس
مطالب پیشنهادی:
درباره مدیراینفو

مدیراینفو ارائه دهنده تازه‌ترین اخبار و رویدادها، مطالب مفید، کاریکاتور، اینفوگراف و ویدیوهای کاربردی در حوزه کارآفرینی است؛ با عضویت در مدیراینفو می‌توانید به بیش از ۵۰۰ مقاله و ویدیوی آموزشی در حوزه‌های مختلف و به صورت طبقه بندی شده و رایگان دسترسی داشته باشید. (برای عضویت کلیک کنید)

ارتباط با ما

 تهران، ولنجک، ساختمان واحدهای فناور دانشگاه شهید بهشتی، طبقه منفی 2، واحد 216

 +98-21-22411360
 info [at] modirinfo.com